Microsoft попереджає про атаки паролем на 250 користувачів Office 365
За даними Microsoft, різні атаки з використанням паролів були спрямовані проти 250 користувачів Office 365 у секторі оборонних технологій Ізраїлю та США. Кіберзловмисники намагаються проникнути в кілька облікових записів, використовуючи звичайні паролі. Ця техніка залежить від користувачів, які використовують варіанти поширених паролів.
Кібератаки були зосереджені на значній інфраструктурній організації, розташованій в Перській затоці, і були здійснені групою (ймовірно, іранською), що відстежується як DEV-0343. Цей тег DEV означає, що кіберзлочинна група є непідтвердженою атакою, спонсорованою державою, але потенційно може стати такою.
Центр Microsoft Threat Intelligence Center (MSTIC) заявив, що він вважає, що DEV-0343 «впроваджує широке розповсюдження паролів проти понад 250 орендарів Office 365, зосереджено на американських та ізраїльських оборонних технологічних компаніях, портах Перської затоки або глобальних морських транспортних компаніях. з бізнесом на Близькому Сході».
Microsoft стверджувала, що цільових орендарів було менше 20.
Організації, які релігійно впроваджують багатофакторну аутентифікацію, мають значно низькі шанси на компроміс через атаки з використанням пароля.
Ця група кіберзлочинців націлена на компанії, які підтримують організації Ізраїлю, ЄС та США, які виробляють безпілотники, системи зв'язку в надзвичайних ситуаціях, військові радари, просторову аналітику, супутникові системи, морські та вантажні транспортні компанії, а також порти Перської затоки в регіоні.
За даними Microsoft:
«Microsoft оцінює, що це націлювання підтримує іранський уряд відстеження служб безпеки противника та морського судноплавства на Близькому Сході, щоб покращити їхні плани дій у надзвичайних ситуаціях. Отримання доступу до комерційних супутникових зображень і власних планів і журналів доставки може допомогти Ірану компенсувати свою супутникову програму, що розвивається»,
Минулого тижня Microsoft підняла червоний прапор у зв’язку з хакерськими атаками, спонсорованими російськими державами, які назвали хакерів російських спецслужб активною загрозою в усьому світі. Далі технічний гігант заявив, що підтримувані Кремлем хакери дуже ефективні та плідні. У ньому також згадувалося про значне зростання іранських хакерських операцій на іранські компанії.
В останньому звіті Microsoft про цифровий захист компанія зазначила:
«Цей рік ознаменував майже чотириразове збільшення націлювання на ізраїльські організації, результат виключно іранських акторів, які зосередилися на Ізраїлі, коли напруженість між супротивниками різко загострилася».
Нещодавнє попередження технічного гіганта для ізраїльських та американських організацій на Близькому Сході згадує, що їм слід бути пильними та стежити за підозрілими з’єднаннями Tor у своїх мережах.
Microsoft попередила їх у блозі:
«DEV-0343 проводить численні розпилення паролів, емулюючи браузер Firefox і використовуючи IP-адреси, розміщені в проксі-мережі Tor. Найбільш активні вони з неділі по четвер з 7:30 до 20:30 за іранським часом (04:00:00 та 17:00:00 UTC) зі значним падінням активності до 7:30 ранку та після 8:00: 30 вечора за іранським часом. Зазвичай вони націлені на десятки і сотні облікових записів в організації, залежно від розміру, і перераховують кожен обліковий запис від десятків до тисяч разів. У середньому в атаках на кожну організацію використовується від 150 до 1000+ унікальних IP-адрес проксі Tor».
DEV-0343 часто проводить атаки з розпиленням паролів і націлений на кінцеві точки Exchange, такі як ActiveSync і Autodiscover, що дозволяє цій хакерській групі ще більше вдосконалювати свою активність розпилення паролів, повідомляє Microsoft.
Основним захистом, рекомендованим Microsoft для запобігання цьому, є включення багатофакторної автентифікації. Це заблокує віддалений доступ до облікових записів. Гігант також рекомендує застосовувати політику доступу до Exchange Online, виконувати часті перевірки адміністратора та шукати будь-який вхідний трафік із мережі Tor або інших служб.